اطلاعیه‌ امنیتی

1403-11-06

بهره‌برداری از آسیب پذیری Magic Packet در روترهای Juniper

دسته بندی:
هک
سطح هشدار:
3
سرویس تحت تاثیر:
Juniper

بر اساس گزارش‌های امنیتی اخیر، یک درِ پشتی (Backdoor) سفارشی شناسایی شده است که از ویژگی موسوم به «بسته جادویی» (Magic Packet) برای نفوذ و کنترل دستگاه‌های لینوکسی استفاده می‌کند. بسته جادویی معمولاً در پروتکل Wake-on-LAN به کار می‌رود و اجازه می‌دهد سیستم خاموش یا در حالت خواب، از راه دور روشن شود. اما هکرها با دستکاری این بسته و افزودن اطلاعات مخرب به آن، می‌توانند یک کانال ارتباطی پنهان روی سیستم قربانی ایجاد کنند.

طراحی این بدافزار به گونه‌ای است که ترافیک ورودی را رصد می‌کند و هر زمان یک بسته جادویی دستکاری‌شده دریافت نماید، فرآیند اجرای کد مخرب یا ایجاد دسترسی ریموت آغاز می‌شود. نتیجه این کار، شکل‌گیری یک راه نفوذ کاملاً مخفیانه است که حتی در لاگ‌های سیستمی نیز چندان مشهود نیست؛ زیرا این بسته‌ها از دید بسیاری از ابزارهای نظارتی پنهان می‌مانند. مهاجمان می‌توانند با استفاده از این روش، عملیات پیشرفته‌ای مانند نصب ابزارهای اضافی، استخراج یا تغییر داده‌ها و حتی اجرای حملات زنجیره‌ای گسترده‌تر را انجام دهند.

گزارش‌ها حاکی از آن است که این روش در حملات هدفمند علیه اهداف خاص به کار گرفته می‌شود و احتمال می‌رود گروه‌های تهدید پیشرفته (APT) یا هکرهای حرفه‌ای پشت ماجرا باشند. آنها ابتدا دسترسی اولیه را از راه‌هایی مانند فیشینگ یا سوءاستفاده از باگ‌های نرم‌افزاری به دست می‌آورند و سپس با کاشت این درِ پشتی سفارشی، امکان دسترسی بلندمدت و مخفیانه را برای خود فراهم می‌کنند. حتی در صورتی که سیستم قربانی راه‌اندازی مجدد شود، وجود این ماژول مخفی هنوز حفظ می‌شود و دوباره فعال می‌گردد.

کارشناسان امنیتی توصیه می‌کنند مدیران سیستم‌ها به چند نکته حیاتی توجه کنند: نخست، غیر‌فعال‌سازی قابلیت Wake-on-LAN در موارد غیرضروری یا لااقل محدودکردن آن به یک محیط امن. دوم، پایش و تحلیل رفتار ترافیک‌های ورودی و خروجی سرورها یا دستگاه‌های لینوکسی، به‌ویژه در پورت‌های مرتبط با شبکه داخلی. سوم، اطمینان از به‌روزرسانی کرنل و بسته‌های امنیتی سیستم‌عامل لینوکس و همین‌طور نرم‌افزارهای جانبی. سرانجام، استفاده از سامانه‌های تشخیص نفوذ (IDS/IPS) و پیکربندی دقیق قوانین فایروال برای جلوگیری از دریافت بسته‌های ناشناس یا مشکوک.

به‌روزرسانی مداوم زیرساخت‌های امنیتی و راهکارهای مقابله با تهدیدات پیچیده، کلید اساسی در پیشگیری از این نوع حملات است. همچنین بهتر است کارشناسان امنیت، بررسی‌های دوره‌ای بر لاگ‌ها و پیکربندی‌های شبکه داشته باشند تا اگر نشانه‌های بسته‌های جادویی دستکاری‌شده یا رفتارهای غیرعادی مشهود شد، در اسرع وقت اقدام لازم انجام شود.

منبع:

نظرات

دیدگاهتان را بنویسید